knugi Opublikowano 8 Listopada 2015 Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Witam, dziś napotkałem się z małym co nie co i zaraziło mój komputer i teraz choruje. Objawy, które zaobserwowałem to: -Uruchamianie się dużo reklam z nowymi kartami i oknami (w firefoxie i chromie) -Podczas uruchamiania przeglądarki pojawia się na chwilę cmd i wyskakuje jakaś ruska strona -Strasznie firefox muli -Takie coś w załączniku Pozdrawiam Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2015 Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Widać aktywne komponenty adware Torrent Search oraz odpadki po MyBrowser, a wszystkie skróty przeglądarek kierują na jakieś pliki BAT (to odpowiada opisowi z cmd i ruską stroną): Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk -> C:\Program Files\Internet Explorer\iexplore.bat () -> -extoff Ale mam znacznie gorsze wieści. Reklamy mogą być problemem podrzędnym. W systemie są ślady wirusa Ramnit, który atakuje wszystkie pliki wykonywalne na wszyskich dyskach. Wejście należne do wirusa to: HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe ... oraz ten plik: 2015-10-09 16:05 - 2015-11-08 00:49 - 00056320 _____ (SOFTWIN S.R.L.) C:\Windows\ExplorerSrv.exe Jeśli wirus jest aktywny, wejścia są nieusuwalne, tzn. cały czas wracają. Nie wiadomo na razie czy wirus jest rzeczywiście aktywny i spróbuję zaadresować wszystko co widzę, ale rekonstrukcja modyfikacji Userinit to będzie czerwony alarm. Infekcję Ramnit bardzo trudno ubić, to się zwykle kończy globalnym formatem. Wstępnie wykonaj następujące akcje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, HP Customer Participation Program 14.0, Java 8 Update 20, Java 8 Update 60, Java SE Development Kit 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files\Google\Chrome\Application\chrome.bat" CMD: type "C:\Program Files\Internet Explorer\iexplore.bat" CMD: type "C:\Program Files\Mozilla Firefox\firefox.bat" CMD: type "D:\Gry\The Elder Scrolls V - Skyrim\Launcher.bat" CMD: type C:\ProgramData\ntuser.pol CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe Task: {0FD70C32-99B2-42C4-AD94-7F292329F9BF} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files\Torrent Search\aH8A6wF.exe [2015-10-09] () Task: {C401C558-7A50-420D-9AA0-F41DADA9D9A1} - System32\Tasks\Rerun service for Torrent Search => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe [2015-11-07] (Company Inc.) Task: {D709D175-8215-4D7E-A87F-A1C6511FE329} - System32\Tasks\MyBrowser => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\Rerun service for Torrent Search.job => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files\Torrent Search\aH8A6wF.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-4127351139-3218798602-2645746064-1000 -> {14EFDE6B-62CA-4401-AF62-15BE2616AE74} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files\Torrent Search\IEEF\ojUkrz57aC.dll [2015-10-09] () FF Session Restore: -> [funkcja włączona] FF Extension: TSearch - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\90i9q7et.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-11-07] [brak podpisu cyfrowego] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-4127351139-3218798602-2645746064-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Torrentex C:\Program Files\Google\Chrome\Application\chrome.bat C:\Program Files\Internet Explorer\iexplore.bat C:\Program Files\microsoft C:\Program Files\Mozilla Firefox\firefox.bat C:\Program Files\Torrent Search C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Local\MyBrowser C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Admin\Downloads\Torrentex C:\Windows\ExplorerSrv.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\swsesrvc_1.10.0.25" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMSetup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Operacje tyczące przeglądarek: ----> Wszystkie skróty przeglądarek zostały usunięte, więc odtwórz sobie na Pulpicie, Pasku zadań i Menu Start skróty. ----> Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Torrent Search, o ile sam nie zniknie po użyciu skryptu FRST. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. ----> Obecnie brak ustawionej domyślnej przeglądarki. Wybraną ustaw jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które problemy nadal występują. Odnośnik do komentarza
knugi Opublikowano 8 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Zrobione i jeszcze mnie niepokoi jedna rzecz otóż w procesach mam proces iexplore.exe podpisany jako Internet Explorer i tak sobie wszedłem w monitor zasobów w zakładce pamięć błędy sprzętowe/s iexplore.exe ma nawet 8,9 a czasem 0. Kolejna sprawa to taka, że w folderach z przeglądarkami (firefox i chrome) odpowiednio są takie apki ukryte: *.bat.exe (tam gdzie * to firefox albo chrome) lecz pewnie nic nie robią i tylko delete trza dać (chwilowo te pliki zostawiam) Więcej nic nie zaobserwowałem. Addition.txt Fixlog.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2015 Zgłoś Udostępnij Opublikowano 8 Listopada 2015 1. Tak, te pliki BAT otwierają rosyjską stronę pagego.ru. Okazuje się, że także są zainfekowane skróty Thе Еldеr Sсrоlls V - Skyrim. Co więcej, wszystkie skróty kierujące do BAT okazują się być sztucznie dorobione przez infekcję, a nie jak pierwotnie sądziłam oryginały przekierowane na BAT. Otóż nazwy tych skrótów wyglądają "normalnie" tylko w pliku Shortcut.txt (zapisany w UTF-8) oraz w moim poście (forum również chodzi w UTF-8), ale już po wklejeniu do Fixlist (zapisany w ANSI) zostały przerobione na pytajniki. To oznacza, że nazwy zawierają falsyfikaty znaków dobrane z puli Unicode, graficznie odpowiadające określonym literom, ale nie będące nimi. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\G??gl? ?hr?m?.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\??zill? Fir?f??.lnkC:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\G??gl? ?hr?m?.lnkC:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\L?un?h Int?rn?t ??pl?r?r ?r?ws?r.lnkC:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G??gl? ?hr?m?.lnkC:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\??zill? Fir?f??.lnkC:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Int?rn?t ??pl?r?r (N? ?dd-?ns).lnkC:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Int?rn?t ??pl?r?r.lnkC:\Users\Public\Desktop\G??gl? ?hr?m?.lnk Poprawki. Otwórz Notatnik i wklej w nim:Task: {0691E637-83ED-4867-B581-86184987CA74} - \Update Service for Torrent Search2 -> Brak pliku Task: {F9674D27-CED6-4653-9F83-69DE737658E8} - System32\Tasks\Update Service for Torrent Search => C:\Program Files\Torrent Search\aH8A6wF.exe Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files\Torrent Search\aH8A6wF.exe C:\ProgramData\ntuser.polC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda\The Elder Scrolls V - Skyrim\Тhе Еldеr Sсrоlls V - Skyrim.lnkC:\Users\Public\Desktop\Тhе Еldеr Sсrоlls V - Skyrim.lnkC:\Users\Admin\Downloads\Niepotwierdzony*.crdownloadD:\Gry\The Elder Scrolls V - Skyrim\Launcher.batCMD: dir /a "C:\Program Files\Google\Chrome\Application"CMD: dir /a "C:\Program Files\Internet Explorer"CMD: dir /a "C:\Program Files\Mozilla Firefox"CMD: dir /a "D:\Gry\The Elder Scrolls V - Skyrim"Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.2. Niestety podejrzenie się sprawdziło. Wirus Ramnit jest aktywny. Wpis Userinit oraz plik ExplorerSrv.exe wróciły natychmiast po usunięciu. To oznacza, że sukcesywnie są niszczone pliki wykonywalne Windows i programów. Proszę zastartuj z płyty Kaspersky Rescue Disk i uruchom skaner antywirusowy. Jeśli skaner nie będzie w stanie czegoś wyleczyć, wyrzucaj pliki. Nie może zostać ani jeden zainfekowany. Domyślnie nie jest zapisywany raport w formie trwałej. Jeśli nie będziesz w stanie zapisać wyników w postacui TXT, porób zrzuty ekranu z karty Reports tak by było widać wszystko co zostało zaadresowane.3. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Przedstaw także wyniki skanowania Kasperskym. Odnośnik do komentarza
knugi Opublikowano 8 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Sprawa punktu pierwszego została wykonana tutaj log: Już pobrałem kav rescue i pytanie, czy mogę go zbootować przez pendrive czy koniecznie muszę przez płytkę wypalić ? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Listopada 2015 Zgłoś Udostępnij Opublikowano 8 Listopada 2015 EDIT: ślepota, FRST już je usunął w pierwszym podejściu. Wykreśliłam z Fixa duplikaty. Już pobrałem kav rescue i pytanie, czy mogę go zbootować przez pendrive czy koniecznie muszę przez płytkę wypalić ? Pendrive jak najbardziej wchodzi w grę. Potencjalne zagrożenie to zainfekowanie przez wirusa plików na pendrive. Odnośnik do komentarza
knugi Opublikowano 8 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 8 Listopada 2015 Okay. Troszkę długo scanowało mi ten dysk ale chyba się opłacało wyłapałem 2700 wirósów w tym 206 zwykłych a reszta trojany. Logi z FRST podaję tutaj, udało mi się zrobić logi z scanu (wszystkie pliki usunięte przez program) tylko nie wiem gdzie je zapisało bo to jest w tamtym systemowym i nawet poprzez wyszukanie w pendrive nazwę pliku tekstowego to go nie może znaleźć. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2015 Zgłoś Udostępnij Opublikowano 9 Listopada 2015 Troszkę długo scanowało mi ten dysk ale chyba się opłacało wyłapałem 2700 wirósów w tym 206 zwykłych a reszta trojany. Niezależnie od tego w jaki sposób były opisane wyniki, większość z tych "2700" to musiał być wirus Ramnit. Kaspersky oznacza go pod inną nazwą kodową "Nimnul". udało mi się zrobić logi z scanu (wszystkie pliki usunięte przez program) tylko nie wiem gdzie je zapisało bo to jest w tamtym systemowym i nawet poprzez wyszukanie w pendrive nazwę pliku tekstowego to go nie może znaleźć. Raporty są prawdopodobnie w katalogu C:\Kaspersky Rescue Disk 10.0, tylko że Kaspersky domyślnie szyfruje pliki raportów, więc dostarczenie wersji zaszyfrowanej mija się z celem. Do czyszczenia jeszcze mamy pewne rzeczy, ale pojawił się tu nowy problem po czyszczeniu, tzn. utrata dostępu do konta. Obecnie Twój profil ma charakter tymczasowy, rozlinkowany z poprzednim katalogiem: Uruchomiony z C:\Users\TEMP\Downloads Admin (S-1-5-21-4127351139-3218798602-2645746064-1000 - Administrator - Enabled) => C:\Users\TEMP 2015-11-08 21:35 - 2015-11-08 21:41 - 00000000 ____D C:\Users\TEMP\AppData\Local\Mozilla 2015-11-08 21:35 - 2015-11-08 21:35 - 00001434 _____ C:\Users\TEMP\Desktop\firefox — skrót.lnk 2015-11-08 21:35 - 2015-11-08 21:35 - 00000000 ____D C:\Users\TEMP\AppData\Roaming\Mozilla 2015-11-08 21:34 - 2015-11-08 21:42 - 00000000 ____D C:\Users\TEMP 2015-11-08 21:34 - 2015-11-08 21:34 - 00000020 ___SH C:\Users\TEMP\ntuser.ini 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Ustawienia lokalne 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Szablony 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Moje dokumenty 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Menu Start 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje wideo 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje obrazy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moja muzyka 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Dane aplikacji 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Historia 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Dane aplikacji 2015-11-08 21:34 - 2009-07-14 05:42 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories 2015-11-08 21:34 - 2009-07-14 05:37 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance Należy ponownie przekierować konto na właściwy folder: 1. Włącz tymczasowo wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Admin z folderem C:\Users\TEMP (opcja Detach), następnie połącz konto z poprzednim folderem C:\Users\Admin. 3. Zresetuj komputer. Zaloguj się na swoje konto. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut już zbędny. Odnośnik do komentarza
knugi Opublikowano 9 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2015 A nie można już zrobić tak, że zrobię format dysku C bo i tak pliki wykonywalne zostały pousuwane z wirusa więc i tak żadne programy mi nie pójdą i muszę na nowo instalować. Partycję D przeskanowałem wirusa nie ma Teraz C można dokładnie sprzątnąć formatem i na nowo Wina zainstaluje to wtedy będzie od razu taki refresh systemu xD bo ten wirus też mógł zjeść niektóre pliki systemowe to też jakiś fakt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2015 Zgłoś Udostępnij Opublikowano 9 Listopada 2015 W sumie format jest tu bardzo dobrym rozwiązaniem, bo zakres naruszeń przez wirusa jest nieznany. Skopiuj z dysku tylko te dane, które są bardzo istotne, upewniając się że żadne z nich nie są zainfekowane. Odnośnik do komentarza
knugi Opublikowano 10 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Format już zrobiłem bez żadnych komplikacji i wydaje się wszystko w porządku jeszcze zainstaluje sterowniki zrobię jeszcze Raz skany partycji poprzez kaspersky lecz wcześniej zarzuce logi frst i pewnie się skończy na tym etapie jak będzie wszystko czysto Edit zainstalowałem już sterowniki i jest wszystko w porządku jeszcze na wszelki wypadek na noc włącze skanowanie jeszcze raz tym kasperskim, lepiej przeskanować by być pewnym To są logi już po formacie i zainstalowaniu sterowników do Grafiki i Drukarki (Bo inne nie były potrzebne) Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Wszystko wygląda w porządku. 1. Detaliczna operacja polegająca na usunięciu starego niekompatybinego i nie podpisanego cyfrowo rozszerzenia Hewlett-Packard w Firefox: HKLM\...\Run: [] => [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3632361876-1953191416-3316088722-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Drobny błąd WMI numer 10 w Dzienniku zdarzeń. Zastosuj narzędzie Fix-it: KLIK. Odnośnik do komentarza
knugi Opublikowano 11 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Obie czynności przeprowadziłem, log w załączniku. Komputera nieprzeskanowałem (jeden z powodów to taki, że zostawiłem komputer bo mama na nim siedziała, a ja pojechałem do kolegi i późno wróciłem) lecz nie powinno być wirusa w plikach takich jak mp3, jpg bo ramnit atakował tylko pliki wykonywalne, a stare gry programy musiałem i tak na nowo instalować, bo skaner mi usunął exe'ki. I to by chyba było na tyle dziękuję bardzo za pomoc i czas Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2015 Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Przez SHIFT+DEl (omija Kosz) skasuj pobrany FRST, jego logi oraz folder C:\FRST. To tyle. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi